Skip to content

Commit f606e6e

Browse files
ptuxriita10069
ptux
and
riita10069
authored
[ja] Translate tasks/administer-cluster/certificates into Japanese (#31314)
* done * self review * minor change * Update content/ja/docs/tasks/administer-cluster/certificates.md Co-authored-by: Ryota Yamada <[email protected]> * Update content/ja/docs/tasks/administer-cluster/certificates.md Co-authored-by: Ryota Yamada <[email protected]> * Update content/ja/docs/tasks/administer-cluster/certificates.md Co-authored-by: Ryota Yamada <[email protected]> * Update content/ja/docs/tasks/administer-cluster/certificates.md Co-authored-by: Ryota Yamada <[email protected]> * Update content/ja/docs/tasks/administer-cluster/certificates.md Co-authored-by: Ryota Yamada <[email protected]> * Update content/ja/docs/tasks/administer-cluster/certificates.md Co-authored-by: Ryota Yamada <[email protected]> Co-authored-by: Ryota Yamada <[email protected]>
1 parent f396c81 commit f606e6e

File tree

1 file changed

+235
-0
lines changed

1 file changed

+235
-0
lines changed

content/ja/docs/tasks/administer-cluster/certificates.md

Lines changed: 235 additions & 0 deletions
Original file line numberDiff line numberDiff line change
@@ -0,0 +1,235 @@
1+
---
2+
title: 証明書
3+
content_type: task
4+
weight: 20
5+
---
6+
7+
8+
<!-- overview -->
9+
10+
クライアント証明書認証を使用する場合、`easyrsa`,`openssl`または`cfssl`を使って手動で証明書を生成することができます。
11+
12+
<!-- body -->
13+
14+
### easyrsa
15+
16+
**easyrsa**はクラスターの証明書を手動で生成することができます。
17+
18+
1. パッチが適用されたバージョンのeasyrsa3をダウンロードし、解凍し、初期化します。
19+
20+
curl -LO https://storage.googleapis.com/kubernetes-release/easy-rsa/easy-rsa.tar.gz
21+
tar xzf easy-rsa.tar.gz
22+
cd easy-rsa-master/easyrsa3
23+
./easyrsa init-pki
24+
1. 新しい認証局(CA)を生成します。
25+
`req-cn`はCAの新しいルート証明書のコモンネーム(CN)を指定します。
26+
27+
./easyrsa --batch "--req-cn=${MASTER_IP}@`date +%s`" build-ca nopass
28+
1. サーバー証明書と鍵を生成します。
29+
引数`--subject-alt-name`は、APIサーバーがアクセス可能なIPとDNS名を設定します。
30+
`MASTER_CLUSTER_IP`は通常、APIサーバーとコントローラーマネージャーコンポーネントの両方で`--service-cluster-ip-range`引数に指定したサービスCIDRの最初のIPとなります。
31+
引数`--days`は、証明書の有効期限が切れるまでの日数を設定するために使用します。
32+
また、以下のサンプルでは、デフォルトのDNSドメイン名として`cluster.local`を使用することを想定しています。
33+
34+
./easyrsa --subject-alt-name="IP:${MASTER_IP},"\
35+
"IP:${MASTER_CLUSTER_IP},"\
36+
"DNS:kubernetes,"\
37+
"DNS:kubernetes.default,"\
38+
"DNS:kubernetes.default.svc,"\
39+
"DNS:kubernetes.default.svc.cluster,"\
40+
"DNS:kubernetes.default.svc.cluster.local" \
41+
--days=10000 \
42+
build-server-full server nopass
43+
1. `pki/ca.crt`,`pki/issued/server.crt`,`pki/private/server.key`を自分のディレクトリにコピーします。
44+
1. APIサーバーのスタートパラメーターに以下のパラメーターを記入し、追加します。
45+
46+
--client-ca-file=/yourdirectory/ca.crt
47+
--tls-cert-file=/yourdirectory/server.crt
48+
--tls-private-key-file=/yourdirectory/server.key
49+
50+
### openssl
51+
52+
**openssl**は、クラスター用の証明書を手動で生成することができます。
53+
54+
1. 2048bitのca.keyを生成します:
55+
56+
openssl genrsa -out ca.key 2048
57+
1. ca.keyに従ってca.crtを生成します(-daysで証明書の有効期限を設定します)。
58+
59+
openssl req -x509 -new -nodes -key ca.key -subj "/CN=${MASTER_IP}" -days 10000 -out ca.crt
60+
1. 2048bitでserver.keyを生成します:
61+
62+
openssl genrsa -out server.key 2048
63+
1. 証明書署名要求(CSR)を生成するための設定ファイルを作成します。
64+
角括弧で囲まれた値(例:`<MASTER_IP>`)は必ず実際の値に置き換えてから、ファイル(例:`csr.conf`)に保存してください。`MASTER_CLUSTER_IP`の値は、前のサブセクションで説明したように、APIサーバーのサービスクラスターのIPであることに注意してください。また、以下のサンプルでは、デフォルトのDNSドメイン名として`cluster.local`を使用することを想定しています。
65+
66+
[ req ]
67+
default_bits = 2048
68+
prompt = no
69+
default_md = sha256
70+
req_extensions = req_ext
71+
distinguished_name = dn
72+
73+
[ dn ]
74+
C = <country>
75+
ST = <state>
76+
L = <city>
77+
O = <organization>
78+
OU = <organization unit>
79+
CN = <MASTER_IP>
80+
81+
[ req_ext ]
82+
subjectAltName = @alt_names
83+
84+
[ alt_names ]
85+
DNS.1 = kubernetes
86+
DNS.2 = kubernetes.default
87+
DNS.3 = kubernetes.default.svc
88+
DNS.4 = kubernetes.default.svc.cluster
89+
DNS.5 = kubernetes.default.svc.cluster.local
90+
IP.1 = <MASTER_IP>
91+
IP.2 = <MASTER_CLUSTER_IP>
92+
93+
[ v3_ext ]
94+
authorityKeyIdentifier=keyid,issuer:always
95+
basicConstraints=CA:FALSE
96+
keyUsage=keyEncipherment,dataEncipherment
97+
extendedKeyUsage=serverAuth,clientAuth
98+
subjectAltName=@alt_names
99+
1. 設定ファイルに基づき、証明書署名要求を生成します:
100+
101+
openssl req -new -key server.key -out server.csr -config csr.conf
102+
1. ca.key、ca.crt、server.csrを使用して、サーバー証明書を生成します:
103+
104+
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key \
105+
-CAcreateserial -out server.crt -days 10000 \
106+
-extensions v3_ext -extfile csr.conf
107+
1. 証明書署名要求を表示します:
108+
109+
openssl req -noout -text -in ./server.csr
110+
1. 証明書を表示します:
111+
112+
openssl x509 -noout -text -in ./server.crt
113+
114+
最後に、同じパラメーターをAPIサーバーのスタートパラメーターに追加します。
115+
116+
### cfssl
117+
118+
**cfssl**も証明書生を成するためのツールです。
119+
120+
1. 以下のように、コマンドラインツールをダウンロードし、解凍して準備してください。
121+
なお、サンプルのコマンドは、お使いのハードウェア・アーキテクチャやCFSSLのバージョンに合わせる必要があるかもしれません。
122+
123+
curl -L https://github.com/cloudflare/cfssl/releases/download/v1.5.0/cfssl_1.5.0_linux_amd64 -o cfssl
124+
chmod +x cfssl
125+
curl -L https://github.com/cloudflare/cfssl/releases/download/v1.5.0/cfssljson_1.5.0_linux_amd64 -o cfssljson
126+
chmod +x cfssljson
127+
curl -L https://github.com/cloudflare/cfssl/releases/download/v1.5.0/cfssl-certinfo_1.5.0_linux_amd64 -o cfssl-certinfo
128+
chmod +x cfssl-certinfo
129+
1. 成果物を格納するディレクトリを作成し、cfsslを初期化します:
130+
131+
mkdir cert
132+
cd cert
133+
../cfssl print-defaults config > config.json
134+
../cfssl print-defaults csr > csr.json
135+
1. CAファイルを生成するためのJSON設定ファイル、例えば`ca-config.json`を作成します:
136+
137+
{
138+
"signing": {
139+
"default": {
140+
"expiry": "8760h"
141+
},
142+
"profiles": {
143+
"kubernetes": {
144+
"usages": [
145+
"signing",
146+
"key encipherment",
147+
"server auth",
148+
"client auth"
149+
],
150+
"expiry": "8760h"
151+
}
152+
}
153+
}
154+
}
155+
1. CA証明書署名要求(CSR)用のJSON設定ファイル(例:`ca-csr.json`)を作成します。
156+
角括弧で囲まれた値は、必ず使用したい実際の値に置き換えてください。
157+
158+
{
159+
"CN": "kubernetes",
160+
"key": {
161+
"algo": "rsa",
162+
"size": 2048
163+
},
164+
"names":[{
165+
"C": "<country>",
166+
"ST": "<state>",
167+
"L": "<city>",
168+
"O": "<organization>",
169+
"OU": "<organization unit>"
170+
}]
171+
}
172+
1. CAキー(`ca-key.pem`)と証明書(`ca.pem`)を生成します:
173+
174+
../cfssl gencert -initca ca-csr.json | ../cfssljson -bare ca
175+
1. APIサーバーの鍵と証明書を生成するためのJSON設定ファイル、例えば`server-csr.json`を作成します。
176+
角括弧内の値は、必ず使用したい実際の値に置き換えてください。
177+
`MASTER_CLUSTER_IP`は、前のサブセクションで説明したように、APIサーバーのサービスクラスターのIPです。
178+
また、以下のサンプルでは、デフォルトのDNSドメイン名として`cluster.local`を使用することを想定しています。
179+
180+
{
181+
"CN": "kubernetes",
182+
"hosts": [
183+
"127.0.0.1",
184+
"<MASTER_IP>",
185+
"<MASTER_CLUSTER_IP>",
186+
"kubernetes",
187+
"kubernetes.default",
188+
"kubernetes.default.svc",
189+
"kubernetes.default.svc.cluster",
190+
"kubernetes.default.svc.cluster.local"
191+
],
192+
"key": {
193+
"algo": "rsa",
194+
"size": 2048
195+
},
196+
"names": [{
197+
"C": "<country>",
198+
"ST": "<state>",
199+
"L": "<city>",
200+
"O": "<organization>",
201+
"OU": "<organization unit>"
202+
}]
203+
}
204+
1. APIサーバーの鍵と証明書を生成します。
205+
デフォルトでは、それぞれ`server-key.pem``server.pem`というファイルに保存されます:
206+
207+
../cfssl gencert -ca=ca.pem -ca-key=ca-key.pem \
208+
--config=ca-config.json -profile=kubernetes \
209+
server-csr.json | ../cfssljson -bare server
210+
211+
212+
## 自己署名入りCA証明書を配布する
213+
214+
クライアントノードが自己署名入りCA証明書を有効なものとして認識できない場合があります。
215+
216+
非プロダクション環境、または会社のファイアウォールの内側での開発環境であれば、自己署名入りCA証明書をすべてのクライアントに配布し、有効な証明書のローカルリストを更新することができます。
217+
218+
各クライアントで、次の操作を実行します:
219+
220+
```bash
221+
sudo cp ca.crt /usr/local/share/ca-certificates/kubernetes.crt
222+
sudo update-ca-certificates
223+
```
224+
225+
```
226+
Updating certificates in /etc/ssl/certs...
227+
1 added, 0 removed; done.
228+
Running hooks in /etc/ca-certificates/update.d....
229+
done.
230+
```
231+
232+
## 証明書API
233+
234+
認証に使用するx509証明書のプロビジョニングには`certificates.k8s.io` APIを使用することができます。[ここ](/docs/tasks/tls/managing-tls-in-a-cluster)に記述されています。
235+

0 commit comments

Comments
 (0)